Demander l’approbation de suppression pour les e-mails sur le service Microsoft Exchange Online

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 6 minutes de lecture

    • Une fois qu’une recherche d’e-mails a été effectuée avec succès et que les messages correspondants ont été identifiés, vous pouvez supprimer définitivement tous les e-mails suspects du service Microsoft Exchange Online associés à l’incident de sécurité et à la campagne d’hameçonnage.

    Avant de commencer

    Rôle requis : sn_si.analyst

    Le système effectue des suppressions sur vos derniers résultats de recherche réussis.

    Pourquoi et quand exécuter cette tâche

    Si les approbations et les notifications par e-mail sont activées, envoyez une demande de suppression des e-mails à un groupe d’approbation avant la suppression des e-mails.

    Les résultats de la recherche d’e-mails sont affichés avec tous les messages qui ont été reçus. Pour garantir que les e-mails d’hameçonnage sont correctement supprimés, les résultats de la suppression sont publiés dans les notes de travail de l’incident de sécurité associé. Si le balisage est activé, une balise de sécurité s’affiche également sur l’incident de sécurité associé. Si l’e-mail n’est pas supprimé correctement, vous en êtes également informé dans les notes de travail.

    En fonction des politiques de votre organisation, vous devrez peut-être demander une approbation avant de supprimer les e-mails d’hameçonnage. Le processus d’approbation de suppression nécessite des informations sur le nombre d’e-mails à supprimer et, éventuellement, l’accès à d’autres détails de message. Pour le traitement de la demande de suppression, dans une notification par e-mail, un approbateur reçoit le nombre de messages électroniques correspondants, le lien de l’incident de sécurité pour accéder aux détails complets du message et les liens d’approbation ou de rejet. Les liens contenus dans cet e-mail permettent à un approbateur d’accepter ou de rejeter la demande de suppression à partir de la notification par e-mail. Une piste d’audit complète avec horodatage est également disponible et permet de savoir à quel moment l’état d’approbation a été modifié dans les notes de travail. Si un groupe d’approbation est affecté, un utilisateur du groupe peut traiter la demande pour l’ensemble du groupe. Chaque membre du groupe d’approbation reçoit une notification par e-mail concernant la demande.

    En tant qu’utilisateur disposant du rôle sn_si.analyst, si vous déterminez que des e-mails doivent être corrigés, suivez les étapes requises pour les supprimer. Si les approbations sont activées, demandez l’approbation pour supprimer les e-mails du Microsoft Exchange Online service.

    Procédure

    1. Accédez à la Tous > Incident de sécurité > Afficher tous les incidents.
    2. Cliquez sur la liste connexe Recherche d’e-mail .
    3. Avec la liste connexe Recherche d’e-mails sélectionnée, dans la colonne Recherche d’e-mails, cliquez sur le nom de votre recherche.
      Les résultats de la recherche sont affichés dans la liste connexe Résultats de recherche d’e-mail.

      Pour cet exemple, cette recherche a trouvé des e-mails qui correspondent à vos critères de recherche. Deux actions de recherche sont répertoriées dans l’enregistrement. Une recherche n’a aucune correspondance (0) et l’autre recherche a une correspondance d’e-mail (1).

      Figure 1. Taille du jeu de résultats de recherche d’e-mail
      Enregistrement de recherche d’e-mail avec la taille du jeu de résultats mise en surbrillance.
    4. Pour supprimer les éléments d’e-mail associés à une recherche, cochez la case d’un ensemble de résultats de recherche à gauche de la colonne Date de recherche.
      Vous pouvez sélectionner un seul ou plusieurs jeux de résultats dans la liste.
    5. Sélectionnez les jeux de résultats que vous souhaitez supprimer.
      Figure 2. Supprimer les e-mails d'Exchange Online
      Actions sur les lignes sélectionnées, liste de choix développée et Supprimer les e-mails d’Exchange Online mis en surbrillance.
    6. En bas de la liste connexe Résultats de recherche d’e-mail, dans la liste Actions sur les lignes sélectionnées, sélectionnez Supprimer les e-mails d’Exchange Online pour supprimer tous les éléments d’e-mail associés à un ou plusieurs jeux de résultats du serveur Exchange Online.
      Si un jeu de résultats contient plusieurs e-mails, vous n’êtes pas obligé d’ouvrir l’enregistrement de résultats de recherche d’e-mail et de sélectionner des e-mails individuels pour les supprimer. Tous les éléments d’e-mails dont l’état est faux dans la colonne A été supprimés dans l’enregistrement Résultat de recherche d’e-mail sont supprimés une fois que vous avez sélectionné Supprimer les e-mails d’Exchange Online.

      Si un élément d’e-mail dans un jeu de résultats a déjà été supprimé, l’état de la colonne A été supprimé dans l’enregistrement Résultat de recherche d’e-mail est Vrai. Ces éléments ne sont pas supprimés à nouveau.

      Si l’option d’approbation est désactivée pendant l’étape de configuration, après avoir sélectionné Supprimer les e-mails d’Exchange Online, les e-mails associés à l’ensemble de résultats sont supprimés. L’ensemble de résultats lui-même n’est pas supprimé. Toutefois, l’état de tous les éléments d’e-mail supprimés de l’ensemble de résultats est mis à jour sur true dans la colonne A été supprimé de l’enregistrement Résultat de recherche d’e-mail. Pour en savoir plus sur la fonctionnalité d’approbation, reportez-vous à Configurer l’intégration Microsoft Exchange Online avec votre Now Platform instance.
      Figure 3. Détails de suppression d’e-mail
      La colonne A été supprimée sur l’enregistrement des résultats de recherche d’e-mail mis en évidence.

      Ces e-mails sont supprimés du Microsoft Exchange Online locataire sur lequel vous avez effectué les recherches. Une note de travail s’affiche si les e-mails sont supprimés avec succès.

      Sur l’enregistrement d’incident de sécurité, la balise de sécurité Suppression d’e-mail - Terminé s’affiche.
      Figure 4. Suppression d’e-mail : balise de sécurité terminée
      Incident de sécurité avec suppression d’e-mail terminée balise de sécurité mise en évidence.

      Si les approbations sont désactivées pour les demandes de suppression, vous avez supprimé avec succès les Microsoft Exchange Online e-mails du locataire.

      Si les approbations sont activées pour les demandes de suppression pendant l’étape de configuration, après avoir sélectionné Supprimer les e-mails d’Exchange Online, une notification par e-mail est envoyée à chaque membre du groupe d’approbation que vous avez sélectionné pendant l’étape de configuration.

      Si le balisage est activé pendant l’étape de configuration, la balise de sécurité Suppression d’e-mail - initiée s’affiche sur l’enregistrement d’incident de sécurité connexe. Pour en savoir plus sur le balisage, reportez-vous à Configurer l’intégration Microsoft Exchange Online avec votre Now Platform instance.

      Des notes de travail indiquent qu’une demande de suppression d’e-mails est soumise par l’utilisateur disposant du rôle sn_si.analyst (Hans SecAnalyst).

      Notes de travail avec demande soumise et piste d’audit.

      Si les approbations sont activées, l’étape suivante consiste à traiter la demande de suppression.

    7. Si vous souhaitez afficher les détails et les éléments d’e-mail individuels d’un enregistrement de recherche avant de le supprimer ou d’envoyer une demande de suppression, suivez également les étapes suivantes.
      1. Avec la liste connexe Résultats de recherche d’e-mail sélectionnée, dans la colonne Date de recherche, cliquez sur la date d’une recherche que vous souhaitez examiner.
        Figure 5. Détails de recherche d’e-mails
        Date de recherche mise en surbrillance sur la liste connexe Résultats de recherche d’e-mail.
        Les informations suivantes sur les e-mails s’affichent :
        • Destinataires
        • Expéditeur
        • Date de réception de l'e-mail
        • État de lecture de l’e-mail (vrai ou faux)
        • A été supprimé (vrai ou faux)
        • Supprimé par intégration (vrai ou faux)
          Remarque :

          La valeur est définie sur vrai lorsque l’e-mail est supprimé lorsque l’analyste lance la suppression des serveurs de messagerie.

          Les notes de travail sont mises à jour avec le nombre total d’enregistrements supprimés, qui inclut les enregistrements supprimés par intégration et par utilisateur.

      2. Une fois que vous avez examiné les données, pour supprimer tous les e-mails ou envoyer une demande de suppression de tous les e-mails, cliquez sur Supprimer des serveurs de messagerie.

        Comme décrit dans l’exemple précédent, si plusieurs e-mails sont répertoriés sur l’enregistrement des résultats de recherche, vous n’avez pas besoin de sélectionner les e-mails individuels pour les supprimer. La demande de suppression supprime tous les e-mails associés à la recherche lorsque la valeur false est affichée dans la colonne A été supprimée des derniers résultats de recherche.

        Bouton Supprimer des serveurs de messagerie mis en surbrillance et flèche de légende pour la case à cocher sur l’enregistrement Résultat de recherche d’e-mail.
      Si les approbations sont activées, vous avez correctement soumis une demande de suppression d’e-mails. Les balises de sécurité et les notes de travail s’affichent sur l’enregistrement d’incident de sécurité connexe, comme décrit dans l’exemple précédent. En tant qu’approbateur, l’étape suivante consiste à traiter la demande de suppression.